Yasal·
2 Nisan 2026
Bir şirketin e-posta sunucusuna düşen her mesaj, yalnızca bir iletişim aracı değil; aynı zamanda hukuki bir belgedir. Vergi denetimleri, iş uyuşmazlıkları, KVKK ihlali iddiaları ya da BTK soruşturmaları söz konusu olduğunda "e-postayı sildik" cevabı hem idari para cezasına hem de davada delil kaybına yol açabilir. Türk hukukunda e-posta saklama yükümlülükleri birden fazla kanun ve yönetmelikte dağınık biçimde düzenlenmiştir; bu yazı, kurumsal BT ve hukuk ekiplerinin ihtiyaç duyduğu bilgileri tek bir çatı altında sunmaktadır.
E-posta, ticari hayatta sözlü anlaşmaların yerini büyük ölçüde almıştır. Mahkemeler, tarafların yazışmalarını sözleşme kurulmasına ilişkin irade beyanı olarak değerlendirmektedir. Yargıtay'ın yerleşik içtihadına göre e-posta yazışmaları, hukuki delil niteliği taşıyabilmekte ve belge olarak sunulabilmektedir. Bu nedenle bir şirketin e-postalarını zamanından önce silmesi ya da hiç saklamaması; vergi incelemelerinde, tüketici şikayetlerinde ve iş akdi uyuşmazlıklarında ciddi sonuçlar doğurabilir.
Öte yandan kişisel veri içeren e-postaların gerekenden uzun tutulması da sorun yaratır. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), verilerin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü" olmasını emretmektedir (md. 4/2-ç). Yani e-posta saklama politikası hem asgari hem de azami sınırları doğru biçimde çizmelidir.
Aşağıdaki tablo, e-posta ve dijital yazışmaları doğrudan veya dolaylı olarak etkileyen başlıca mevzuatı özetlemektedir:
| Kanun / Yönetmelik | İlgili Madde | Kapsam | Asgari Saklama Süresi |
|---|---|---|---|
| 213 sayılı Vergi Usul Kanunu (VUK) | Md. 253 | Vergiyi doğuran işlemlere ilişkin tüm belgeler (fatura, sipariş, ödeme yazışmaları) | 5 yıl |
| 6102 sayılı Türk Ticaret Kanunu (TTK) | Md. 82 | Ticari defterlere esas teşkil eden belgeler ve ticari yazışmalar | 10 yıl |
| 6698 sayılı KVKK | Md. 4, 7; Saklama ve İmha Yönetmeliği | Kişisel veri içeren her türlü e-posta | İşleme amacı sona erince imha; azami süre politikada belirlenmeli |
| 6563 sayılı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Kanun (ETK) | Md. 9; Yönetmelik md. 11 | Onay alınarak gönderilen ticari e-postalar (kampanya, bülten vb.) ve onay kayıtları | 1 yıl (onay ve ret kayıtları) |
| 5651 sayılı İnternet Kanunu | Md. 5, 6 | İçerik ve yer sağlayıcı olarak kurumsal e-posta sunucusu işletenler (trafik log'ları) | 1 yıl (trafik kaydı) |
| 4857 sayılı İş Kanunu | Md. 32, 67 vd. | İşçi-işveren yazışmaları (ücret, fazla mesai, fesih bildirimleri) | İş ilişkisi + 10 yıl (zamanaşımı) |
Not: TTK md. 82'deki 10 yıllık süre pek çok e-posta kategorisini kapsayan "üst çatı" niteliğindedir. Şüphe durumunda en uzun süreyi esas almak, hukuki riski minimize eder.
213 sayılı VUK'un 253. maddesi, mükelleflerin yasal defterlere esas teşkil eden belgelerini "ilgili bulundukları yılı takip eden takvim yılından başlayarak beş yıl" süreyle muhafaza etmesini zorunlu kılmaktadır. Dijital ortamda gönderilen ya da alınan; fatura, proforma, sipariş teyidi, ödeme planı veya vergiyi doğuran başka bir işleme ait e-posta bu kapsamda değerlendirilebilir. Maliye Bakanlığı'nın 397 Sıra No'lu VUK Genel Tebliği, e-fatura ve e-arşiv süreçlerini düzenlerken elektronik belgelerin de aynı fiziksel belgelerle özdeş hukuki değere sahip olduğunu teyit etmektedir. Dolayısıyla bir e-faturanın PDF eki olarak iletildiği e-posta, o faturanın saklama süresine tabi olur.
6102 sayılı TTK'nın 82. maddesi, ticari defterlerin ve bu defterlere dayanak oluşturan belgelerin on yıl saklanmasını emretmektedir. Aynı madde, yazışmaların da bu kapsama girdiğini açıkça ifade etmektedir. "Ticari yazışma" kavramı geniş yorumlanmakta; alım-satım müzakereleri, sözleşme teklifleri, teslimat onayları ve borç-alacak bildirimleri içeren e-postalar bu çerçeveye dahil edilmektedir. On yıllık süre, ticaret mahkemelerinde açılabilecek davaların zamanaşımıyla da örtüşmektedir.
6698 sayılı KVKK'nın 4. maddesi, kişisel verilerin "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü" olmasını ve "ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesini" hükme bağlamaktadır. KVKK'nın 7. maddesi ve buna dayanılarak çıkarılan "Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik" (RG: 28.10.2017 / 30224), veri işleme amacı ortadan kalktığında verilerin en geç altı ay içinde imha edilmesini öngörmektedir.
Kurumlar için pratik sonuç şudur: Bir müşteri adayıyla yapılan yazışmanın iş ilişkisi kurulmadan sona ermesi halinde, o kişiye ait e-postalar işleme amacının sona erdiği tarihten itibaren belirlenen periyotta imha edilmelidir. Buna karşın aynı müşterinin sipariş e-postaları TTK ve VUK süreleri boyunca tutulabilir; çünkü bu durumda işleme amacı devam etmektedir. Kişisel Verileri Koruma Kurulu'nun (KVKK) sektörel kararları ve rehber belgeleri de kurumların "Kişisel Veri Saklama ve İmha Politikası" hazırlamasını zorunlu kılmaktadır.
6563 sayılı Ticari İletişim ve Ticari Elektronik İletiler Hakkında Kanun (ETK) ile bu kanuna dayanılarak çıkarılan "Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik" (RG: 15.07.2015 / 29417, son değişiklik: 04.01.2020 / 31001), kampanya bülteni, promosyon e-postası gibi ticari elektronik iletileri kapsamaktadır. Yönetmeliğin 11. maddesine göre hizmet sağlayıcılar, alıcıların onay ve ret kayıtlarını "onayın geçerliliği süresince ve onayın sona ermesinden itibaren bir yıl" süreyle saklamak zorundadır. Bilgi Teknolojileri ve İletişim Kurumu (BTK), bu yükümlülüğün ihlali halinde 6563 sayılı ETK'nın 12. maddesine göre idari para cezası uygulayabilmektedir.
Yasal yükümlülükleri yerine getirmek için e-posta altyapısının da buna uygun yapılandırılması gerekmektedir. Aşağıdaki teknik önlemler önerilmektedir:
E-posta saklama yükümlülüklerine uyulmaması durumunda şu riskler ortaya çıkabilir:
TTK md. 82 uyarınca ticari yazışma niteliği taşıyan e-postalar 10 yıl saklanmalıdır. Bunlar; alım-satım müzakereleri, sözleşme teklifleri, sipariş ve teslimat onayları, fiyat teklifleri ile borç-alacak bildirimlerini içeren mesajlardır. Günlük organizasyon yazışmaları (toplantı hatırlatmaları vb.) ticari yazışma sayılmayabilir; ancak şüphe durumunda 10 yıllık süreyi esas almak daha güvenlidir.
Yükümlülük, kurumun kontrolündeki e-posta sistemlerinde tutulan yazışmalara uygulanır. Ancak çalışanın kişisel e-posta adresini iş amaçlı kullandığı ve bu yazışmaların ticari nitelik taşıdığı durumlarda, belgelerin şirkete iletilmesi ve kurumsal arşivde saklanması hukuki açıdan önerilir.
Türkiye'de faaliyet gösteren şirketler, Türk hukukundan doğan saklama yükümlülüklerini hangi e-posta altyapısını kullandıklarından bağımsız olarak yerine getirmek zorundadır. Microsoft 365 ve Google Workspace, Türkiye'deki müşterilerine yönelik veri yerleşimi (data residency) seçenekleri sunmaktadır; ancak tercih edilmese de TTK ve VUK saklama yükümlülükleri geçerliliğini korur.
Evet. E-posta log'u (gönderen, alıcı, zaman damgası, konu satırı gibi meta veriler) ile e-postanın içeriği (mesaj gövdesi ve ekler) farklı saklama rejimlerine tabi olabilir. 5651 sayılı Kanun kapsamında trafik log'ları için 1 yıl öngörülürken, ticari yazışmanın içeriği TTK kapsamında 10 yıl saklanmalıdır.
Mevcut durumu bir hukuk müşaviriyle değerlendirmeniz önerilir. Vergi incelemesinde belge ibraz edilememesi, VUK md. 30 kapsamında re'sen tarhiyat sebebi sayılabilir. Bu nedenle arşivleme sisteminin kurulmaması veya kasıtlı imha, hem idari hem de cezai risk taşımaktadır.
6563 sayılı ETK'ya göre alıcının ticari elektronik ileti almaya onay verdiğine dair kanıt (onay tarihi, yöntemi, IP adresi vb.) ve bu onayın iptal edilmesine ilişkin kayıtlar en az 1 yıl süreyle saklanmalıdır. E-posta pazarlama platformunuzun bu log'ları ihraç edebilen bir özelliğe sahip olduğundan emin olun.
İşleme amacının ortadan kalktığı tarih belirleyicidir. Müşteri ilişkisi sona erdiyse ve e-posta başka bir yasal yükümlülük kapsamına girmiyorsa, KVKK'nın Saklama ve İmha Yönetmeliği'ne göre bu tarihten sonra 6 aylık periyotta imha işlemi gerçekleştirilmelidir. Kurum, hazırlaması zorunlu olan "Kişisel Veri Saklama ve İmha Politikası"nda bu periyotları açıkça belirlemelidir.
4857 sayılı İş Kanunu fesih bildiriminin yazılı yapılmasını zorunlu kılmaktadır (md. 17). E-posta yoluyla yapılan fesih bildirimi, e-imza ya da güvenli elektronik imza içeriyorsa hukuki geçerlilik taşıyabilir; ancak uygulamada noter kanalı veya iadeli taahhütlü posta tercih edilmektedir. İş akdiyle ilgili yazışmalar, iş ilişkisinin sona ermesinden itibaren en az 10 yıl (genel zamanaşımı) saklanması önerilir.
Yasal düzenlemelerin büyük çoğunluğu doğrudan "e-posta politikası hazırla" dememekle birlikte, KVKK'nın Kişisel Veri Saklama ve İmha Yönetmeliği kapsamında veri işleyen her kuruluş bir saklama ve imha politikası hazırlamak zorundadır. Bu politika, e-postaları da kapsamalıdır. Ek olarak TTK md. 82 yükümlülüklerini karşılamak için teknik ve idari tedbirler yazılı hale getirilmelidir.
Evet; bulut tabanlı arşivleme hizmetleri, arşivlenen verilerin bütünlüğü ve erişilebilirliği korunduğu sürece yasal açıdan geçerli kabul edilmektedir. Ancak hizmet sağlayıcının KVKK gereklilikleri çerçevesinde bir "veri işleme sözleşmesi" (KVKK md. 12) imzalaması ve verilerin gerektiğinde yetkili mercilere ibraz edilebilmesi kritik önem taşımaktadır.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.